# Konfiguration des Active Directory-Benutzerkontos Der Benutzer des Enrollment Agents und der NLA-Benutzer müssen in Microsoft Active Directory erstellt werden. Im Folgenden wird beschrieben, wie Sie diese Benutzer anlegen. **Benutzerkonto des Enrollment Agents** Das Benutzerkonto des Enrollment Agents ist erforderlich, um Zertifikate über den RAS-Registrierungsserver im Namen des authentifizierten Benutzers zu registrieren. Beachten Sie, dass der Enrollment Agent-Benutzer Anmelderechte auf dem Rechner benötigt, auf dem der RAS Enrollment Server Agent installiert ist. **NLA-Benutzerkonto** Der NLA-Benutzer wird benötigt, um die NLA-Verbindung mit RD-Sitzungshosts und/oder VDI-Gästen zu initiieren. Beachten Sie, dass der NLA-Benutzer Anmelderechte für den Sitzungshost benötigt. Der NLA-Benutzer muss Mitglied der Gruppe der Remotedesktopbenutzer sein und die Berechtigung **Anmelden über Remotedesktopdienste zulassen** erhalten. Gleichzeitig muss es dem NLA-Benutzer untersagt werden, sich über Remotedesktopdienste anzumelden. Um das NLA-Benutzerkonto auszuschließen, muss ihm das Recht **Anmelden über Remotedesktopdienste verweigern** zugewiesen werden. Um beide Ziele zu erreichen, können Sie lokale oder Domänen-GPOs (mit OU oder domänenweit verknüpft) verwenden. Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam ist. Jede Änderung der Zuweisung von Benutzerrechten für ein Konto wird wirksam, wenn sich der Eigentümer des Kontos das nächste Mal anmeldet. Die Gruppenrichtlinieneinstellungen werden über GPOs in der folgenden Reihenfolge angewendet, wodurch die Einstellungen auf dem lokalen Computer bei der nächsten Aktualisierung der Gruppenrichtlinie überschrieben werden: 1. Lokale Richtlinieneinstellungen 2. Einstellungen der Website-Richtlinien 3. Einstellungen der Domänenrichtlinie 4. OU-Richtlinien-Einstellungen Erstellen Sie ein neues GPO oder verwenden Sie das Standard-Domänenrichtlinien-GPO wie folgt: 1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole (GPMC). 2. Öffnen oder erstellen Sie ein GPO, das mit der OU verknüpft ist, in der sich die RDSH- oder VDI-Objekte befinden. 3. Navigieren Sie zu **Computerkonfiguration** > **Windows-Einstellungen** > **Sicherheitseinstellungen** > **Lokale Richtlinien** > **Zuweisung von Benutzerrechten** und öffnen Sie die Option „Anmeldung über Remotedesktopdienste zulassen“. 4. Wählen Sie „Benutzer oder Gruppe hinzufügen...“, fügen Sie den NLA-Benutzer hinzu und klicken Sie auf **OK**. * **Hinweis:** Diese Option setzt die Standardeinstellungen (auf der Workstation und den Servern: Administratoren, Remotedesktopbenutzer; auf Domänencontrollern: Administratoren) außer Kraft. Vergessen Sie daher nicht, die Gruppen wie lokale Administratorengruppe oder Domänen-Administratorengruppe hinzuzufügen. * Navigieren Sie zu **Computerkonfiguration** > **Windows-Einstellungen** > **Sicherheitseinstellungen** > **Lokale Richtlinien** > **Zuweisung von Benutzerrechten** und öffnen Sie die Option **Anmelden über Remotedesktopdienste verweigern**. * Wählen Sie „Benutzer oder Gruppe hinzufügen...“, fügen Sie den NLA-Benutzer hinzu und klicken Sie auf **OK**. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.parallels.com/landing/ras-admin-guide/v19-de-de/saml-sso-authentifizierung/saml-konfiguration/konfiguration-des-active-directory-benutzerkontos.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.